(1)

Il presente regolamento mira a garantire il buon funzionamento del mercato unico digitale in una società aperta e democratica contrastando l’uso improprio dei servizi di hosting a fini terroristici e contribuendo alla sicurezza pubblica in tutta l’Unione. Dovrebbe essere migliorato il funzionamento del mercato unico digitale rafforzando la certezza del diritto per i prestatori di servizi di hosting e la fiducia degli utilizzatori nell’ambiente online, nonché potenziando le salvaguardie per la libertà di espressione, compresa la libertà di ricevere e comunicare informazioni e idee in una società aperta e democratica, e per la libertà e il pluralismo dei media.

(2)

Le misure normative volte a contrastare la diffusione di contenuti terroristici online dovrebbero essere integrate da strategie degli Stati membri intese a contrastare il terrorismo, tra cui il rafforzamento dell’alfabetizzazione mediatica e del pensiero critico, lo sviluppo di narrazioni alternative e controargomentazioni, e altre iniziative volte a ridurre l’impatto dei contenuti terroristici online e la vulnerabilità a essi, nonché investimenti in attività sociali, iniziative di deradicalizzazione e dialogo con le comunità interessate, al fine di raggiungere una prevenzione costante della radicalizzazione nella società.

(3)

Contrastare i contenuti terroristici online, che fanno parte del problema più ampio dei contenuti illegali online, richiede una combinazione di misure legislative, non legislative e volontarie basate sulla collaborazione tra le autorità e i prestatori di servizi di hosting, nel pieno rispetto dei diritti fondamentali.

(4)

I prestatori di servizi di hosting che operano in Internet svolgono un ruolo essenziale nell’economia digitale mettendo in relazione le imprese e i cittadini e facilitando il dibattito pubblico, così come la diffusione e la ricezione di informazioni, opinioni e idee, contribuendo in modo significativo all’innovazione, alla crescita economica, e alla creazione di posti di lavoro nell’Unione. In alcuni casi, tuttavia, i servizi di prestatori di servizi di hosting sono utilizzati impropriamente da terzi al fine di perpetrare attività illegali online. Particolarmente preoccupante è l’uso improprio di tali servizi da parte di gruppi terroristici e dei loro sostenitori per diffondere contenuti terroristici online allo scopo di propagare il loro messaggio, radicalizzare e reclutare adepti, nonché facilitare e dirigere attività terroristiche.

(5)

Pur non essendo l’unico fattore, la presenza di contenuti terroristici online si è rivelata un catalizzatore della radicalizzazione degli individui che può portare a atti terroristici e, pertanto, ha gravi conseguenze negative per gli utilizzatori, i cittadini e la società in generale così come per i prestatori di servizi online che ospitano tali contenuti, poiché mina la fiducia dei loro utilizzatori e nuoce ai loro modelli commerciali. In considerazione dell’importanza del ruolo che svolgono nonché delle capacità e dei mezzi tecnologici associati ai servizi che forniscono, i prestatori di servizi di hosting hanno particolari responsabilità nei confronti della società sotto il profilo della protezione dei loro servizi dall’uso improprio che potrebbero farne i terroristi e del contributo al contrasto della diffusione di contenuti terroristici attraverso i loro servizi online, tenendo conto al contempo dell’importanza fondamentale della libertà di espressione, compresa la libertà di ricevere e comunicare informazioni e idee in una società aperta e democratica.

(6)

Gli sforzi volti a contrastare i contenuti terroristici online, sono stati avviati a livello dell’Unione nel 2015 nel quadro della cooperazione volontaria tra gli Stati membri e i prestatori di servizi di hosting. Tali sforzi devono essere integrati da un quadro legislativo chiaro al fine di ridurre ulteriormente l’accessibilità dei contenuti terroristici online e affrontare in modo adeguato un problema in rapida evoluzione. Il quadro legislativo fa leva su iniziative volontarie, che sono state rafforzate dalla raccomandazione (UE) 2018/334 della Commissione (3), e risponde alla richiesta del Parlamento europeo di rafforzare le misure volte a contrastare i contenuti online illegali e nocivi, in linea con il quadro orizzontale stabilito dalla direttiva 2000/31/CE del Parlamento europeo e del Consiglio, e a quella del Consiglio europeo di migliorare l’individuazione e la rimozione dei contenuti online che incitano a compiere atti terroristici.

(7)

Il presente regolamento non dovrebbe pregiudicare l’applicazione della direttiva 2000/31/CE (4). In particolare, tutte le misure adottate da un prestatore di servizi di hosting conformemente al presente regolamento, comprese eventuali misure specifiche, non dovrebbero comportare automaticamente la perdita, per il prestatore di servizi di hosting, del beneficio dell’esenzione di responsabilità prevista in tale direttiva. Inoltre, il presente regolamento lascia impregiudicata la competenza delle autorità e degli organi giurisdizionali nazionali a stabilire la responsabilità dei prestatori di servizi di hosting se non sono soddisfatte le condizioni stabilite in tale direttiva per beneficiare dell’esenzione di responsabilità.

(8)

In caso di conflitto tra il presente regolamento e la direttiva 2010/13/UE del Parlamento europeo e del Consiglio (5) per quanto riguarda le disposizioni che disciplinano i servizi di media audiovisivi definiti all’articolo 1, paragrafo 1, lettera a), di tale direttiva, la direttiva 2010/13/UE dovrebbe prevalere. Ciò lascia impregiudicati gli obblighi di cui al presente regolamento, in particolare per quanto riguarda i fornitori di servizi di piattaforma per la condivisione di video.

(9)

Il presente regolamento dovrebbe definire norme intese a contrastare l’uso improprio dei servizi di hosting per la diffusione di contenuti terroristici online, al fine di garantire il buon funzionamento del mercato interno. Tali norme dovrebbero rispettare pienamente i diritti fondamentali tutelati nell’ordinamento giuridico dell’Unione e, in particolare, quelli garantiti dalla Carta dei diritti fondamentali dell’Unione europea («Carta»).

(10)

Il presente regolamento intende contribuire alla protezione della pubblica sicurezza, attuando nel contempo adeguate e solide salvaguardie per garantire la tutela dei diritti fondamentali, inclusi il diritto al rispetto della vita privata, alla protezione dei dati personali, alla libertà di espressione, compresa la libertà di ricevere e comunicare informazioni, la libertà d’impresa e il diritto a una tutela giurisdizionale effettiva. Inoltre, è proibita ogni discriminazione. Le autorità competenti e i prestatori di servizi di hosting dovrebbero adottare solo le misure che sono necessarie, adeguate e proporzionate in una società democratica, tenendo conto della particolare importanza rivestita dalla libertà di espressione e di informazione, e la libertà e il pluralismo dei media, che costituiscono i fondamenti essenziali di una società pluralista e democratica, nonché valori su cui si fonda l’Unione. Le misure che incidono sulla libertà di espressione e di informazione dovrebbero essere rigorosamente mirate a contrastare la diffusione di contenuti terroristici online, nel rispetto del diritto di ricevere e comunicare informazioni in modo lecito, tenuto conto del ruolo centrale dei prestatori di servizi di hosting nel facilitare il dibattito pubblico e la diffusione e la ricezione di informazioni, pareri e idee nel rispetto della legge. L’adozione di misure online efficaci per contrastare i contenuti terroristici online e la protezione della libertà di espressione e informazione non sono elementi contrastanti, bensì obiettivi complementari che si rafforzano a vicenda.

(11)

Onde chiarire le azioni che i prestatori di servizi di hosting e le autorità competenti dovrebbero intraprendere per contrastare la diffusione di contenuti terroristici online, è opportuno che il presente regolamento stabilisca una definizione di «contenuti terroristici» per fini di prevenzione coerente con la definizione dei pertinenti reati ai sensi della direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio (6). Data la necessità di contrastare la propaganda terroristica online più perniciosa, tale definizione dovrebbe ricomprendere il materiale che istiga o sollecita a commettere o a contribuire alla commissione di reati di terrorismo, o sollecita a partecipare alle attività di un gruppo terroristico o fa l’apologia di attività terroristiche, incluse raffigurazioni di un attentato terroristico. Nella definizione dovrebbe rientrare anche il materiale che fornisce indicazioni per la fabbricazione e l’uso di esplosivi, armi da fuoco o altre armi o sostanze nocive o pericolose, nonché sostanze chimiche, biologiche, radiologiche e nucleari (CBRN), ovvero altri specifici metodi o tecniche, compresa la selezione degli obiettivi, al fine di commettere o contribuire alla commissione di reati di terrorismo. Tali materiali comprendono testi, immagini, registrazioni audio e video, nonché trasmissioni in diretta di reati di terrorismo, che generano il rischio che possano essere commessi ulteriori reati di questo tipo. Nel valutare se del materiale integra contenuti terroristici ai sensi del presente regolamento, le autorità competenti e i prestatori di servizi di hosting, dovrebbero tenere conto di fattori quali la natura e la formulazione del materiale, il contesto in cui sono emessi e il loro potenziale di portare a conseguenze dannose, compromettendo la sicurezza e l’incolumità delle persone. Il fatto che il materiale sia prodotto, sia attribuibile, o sia diffuso per conto di una persona, gruppo o entità inclusi nell’elenco di persone, gruppi o entità coinvolte in atti terroristici e soggetto a misure restrittive dovrebbe costituire un elemento importante della valutazione.

(12)

Il materiale diffuso per scopi educativi, giornalistici, artistici o di ricerca o a fini di sensibilizzazione contro l’attività terroristica non dovrebbe essere considerato come integrante contenuti terroristici. Nel determinare se il materiale fornito da un fornitore di contenuti integri «contenuti terroristici» in conformità alla definizione fornita dal presente regolamento, si dovrebbe tener conto, in particolare, del diritto alla libertà di espressione e di informazione, compresa la libertà e il pluralismo dei media, e la libertà delle arti e delle scienze. In particolare nei casi in cui il fornitore di contenuti detenga una responsabilità editoriale, qualsiasi decisione relativa alla rimozione del materiale diffuso dovrebbe tener conto delle norme giornalistiche previste dalla regolamentazione della stampa o dei media in conformità del diritto dell’Unione, compresa la Carta. Inoltre, le opinioni radicali, polemiche o controverse espresse nell’ambito di dibattiti politici sensibili non dovrebbero essere considerate contenuti terroristici.

(13)

Al fine di contrastare efficacemente la diffusione di contenuti terroristici online, garantendo nel contempo il rispetto della vita privata degli individui, il presente regolamento si dovrebbe applicare ai fornitori di servizi della società dell’informazione che memorizzano e diffondono al pubblico informazioni e materiali forniti da un utilizzatore del servizio su sua richiesta, indipendentemente dal fatto che l’archiviazione e la diffusione al pubblico di tali informazioni e tali materiali siano di natura meramente tecnica, automatica e passiva. Il concetto di «memorizzazione» dovrebbe essere inteso come la detenzione dei dati nella memoria di un server fisico o virtuale. I fornitori di servizi di semplice trasporto (mere conduit) o di memorizzazione temporanea (caching) nonché di altri servizi forniti in altri strati dell’infrastruttura di Internet, che non comportano la memorizzazione, quali registri e autorità di registrazione, come anche fornitori di sistemi dei nomi di dominio (DNS), servizi di pagamento o di protezione contro gli attacchi distribuiti di negazione del servizio (DDoS), pertanto non dovrebbero rientrare nell’ambito di applicazione del presente regolamento.

(14)

Il concetto di «diffusione al pubblico» dovrebbe implicare la messa a disposizione delle informazioni a un numero potenzialmente illimitato di persone, ossia il fatto di rendere le informazioni facilmente accessibili agli utilizzatori in generale senza che sia necessario un ulteriore intervento da parte del fornitore di contenuti, indipendentemente dall’accesso effettivo alle informazioni in questione da parte di tali persone. Di conseguenza, qualora l’accesso alle informazioni richieda la registrazione o l’ammissione a un gruppo di utilizzatori, tali informazioni dovrebbero essere considerate diffuse al pubblico solo se gli utilizzatori che intendono accedervi sono automaticamente registrati o ammessi senza una decisione o una selezione umana che stabilisca a chi concedere l’accesso. I servizi di comunicazione interpersonale, definiti all’articolo 2, punto 5, della direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio (7), quali i messaggi di posta elettronica o i servizi di messaggistica privata, non dovrebbero rientrare nell’ambito di applicazione del presente regolamento. Le informazioni dovrebbero essere considerate memorizzate e diffuse al pubblico ai sensi del presente regolamento solo se tali attività sono svolte su richiesta diretta del fornitore di contenuti. Di conseguenza, i fornitori di servizi, quali i servizi di infrastrutture cloud, forniti su richiesta di parti diverse dai fornitori di contenuti e a vantaggio solo indiretto di questi ultimi, non dovrebbero essere contemplati dal presente regolamento. A titolo di esempio, il presente regolamento dovrebbe contemplare i fornitori di servizi di social media, di servizi di condivisione di video, audio e immagini, nonché di servizi di condivisione di file e altri servizi cloud, nella misura in cui tali servizi sono utilizzati per mettere le informazioni memorizzate a disposizione del pubblico su richiesta diretta del fornitore di contenuti. Qualora un prestatore di servizi di hosting offra più servizi, il presente regolamento dovrebbe applicarsi solo ai servizi che rientrano nel suo ambito di applicazione.

(15)

I contenuti terroristici sono spesso diffusi al pubblico attraverso servizi forniti da prestatori di servizi di hosting stabiliti in paesi terzi. Al fine di proteggere gli utilizzatori nell’Unione e garantire che tutti i prestatori di servizi di hosting che operano nel mercato unico digitale siano soggetti agli stessi obblighi, il presente regolamento dovrebbe applicarsi a tutti i prestatori di servizi pertinenti offerti nell’Unione, indipendentemente dal paese in cui hanno lo stabilimento principale. Per determinare se un prestatore di servizi offre servizi nell’Unione è necessario verificare se consente alle persone fisiche o giuridiche di uno o più Stati membri di usufruire dei suoi servizi e presenta un collegamento sostanziale con tale Stato membro o con tali Stati membri.

(16)

Un collegamento sostanziale con l’Unione dovrebbe considerarsi presente quando il prestatore di servizi di hosting è stabilito nell’Unione, i suoi servizi sono utilizzati da un numero considerevole di utilizzatori in uno o più Stati membri, o le sue attività sono orientate verso uno o più Stati membri. L’orientamento delle attività verso uno o più Stati membri dovrebbe essere determinato sulla base di tutte le circostanze pertinenti, tra cui l’uso di una lingua o di una moneta generalmente usata nello Stato membro in questione, o la possibilità di ordinare prodotti o servizi da tale Stato membro. Tale orientamento potrebbe anche desumersi dalla disponibilità di un’applicazione nell’apposito negozio online (app store) nazionale, dalla diffusione di pubblicità a livello locale in una lingua generalmente utilizzata nello Stato membro in questione, o dalla gestione dei rapporti con la clientela, ad esempio la fornitura di assistenza alla clientela in una lingua generalmente utilizzata in tale Stato membro. Un collegamento sostanziale dovrebbe essere presunto anche quando le attività di un prestatore di servizi di hosting sono dirette verso uno o più Stati membri come previsto all’articolo 17, paragrafo 1, lettera c), del regolamento (UE) n. 1215/2012 del Parlamento europeo e del Consiglio (8). La semplice accessibilità del sito Internet di un prestatore di servizi di hosting di un indirizzo di posta elettronica e di altri dati di contatto in uno o più Stati membri, non dovrebbe, in quanto tale, essere sufficiente a costituire un collegamento sostanziale. Inoltre, non si può considerare che la prestazione del servizio al solo scopo di conformarsi al divieto di discriminazione imposto dal regolamento (UE) 2018/302 del Parlamento europeo e del Consiglio (9) costituisca, di per sé, un collegamento sostanziale.

(17)

È opportuno armonizzare la procedura e gli obblighi che discendono dagli ordini di rimozione che impongono ai prestatori di servizi di hosting di rimuovere o di disabilitare l’accesso a contenuti terroristici, in esito a una valutazione delle autorità competenti. In considerazione della velocità alla quale i contenuti terroristici sono diffusi attraverso i servizi online, dovrebbe essere imposto ai prestatori di servizi di hosting l’obbligo di provvedere a che i contenuti terroristici identificati in un ordine di rimozione siano rimossi o che l’accesso ad essi sia disabilitato in tutti gli Stati membri entro un’ora dal ricevimento dell’ordine di rimozione. Eccetto casi di emergenza debitamente giustificati, l’autorità competente dovrebbe fornire a un prestatore di servizi di hosting informazioni sulle procedure e sui termini applicabili almeno 12 ore prima di emettere il primo ordine di rimozione nei confronti di tale prestatore di servizi di hosting. Si verificano casi debitamente giustificati di emergenza quando una rimozione o una disabilitazione dell’accesso ai contenuti che avvenisse oltre un’ora dopo la ricezione dell’ordine di rimozione provocherebbe un danno grave, ad esempio in situazioni di minaccia imminente per la vita o l’integrità fisica di una persona, o qualora tali contenuti presentino eventi in corso che provocherebbero un danno alla vita o all’integrità fisica di una persona. L’autorità competente dovrebbe determinare se costituiscano casi di emergenza e fornire la debita giustificazione della propria decisione nell’ordine di rimozione. Qualora il prestatore di servizi di hosting non sia in grado di conformarsi all’ordine di rimozione entro un’ora dal suo ricevimento per cause di forza maggiore o di impossibilità di fatto, anche per ragioni tecniche o operative oggettivamente giustificabili, dovrebbe informare l’autorità competente di emissione non appena possibile e conformarsi all’ordine di rimozione non appena la situazione sia risolta.

(18)

L’ordine di rimozione dovrebbe contenere una motivazione sulla qualifica del materiale da rimuovere, o il cui accesso debba essere disabilitato, in quanto integrante contenuti terroristici e fornire informazioni sufficienti per la localizzazione di tali contenuti, indicando l’URL esatto e, se necessario, ogni altra informazione aggiuntiva quale ad esempio una copia della schermata (screenshot) dei contenuti in questione. Tali motivazioni dovrebbero tuttavia consentire al prestatore di servizi di hosting e, in ultima istanza, al fornitore di contenuti di esercitare effettivamente il loro diritto al ricorso giurisdizionale. Non è necessario che le motivazioni fornite contengano informazioni sensibili che potrebbero compromettere indagini in corso.

(19)

L’autorità competente dovrebbe inviare l’ordine di rimozione direttamente al punto di contatto designato o stabilito dal prestatore di servizi di hosting ai fini del presente regolamento con ogni mezzo elettronico che consenta di conservare una traccia scritta in condizioni che permettano al prestatore di servizi di hosting di stabilire l’autenticità di tale ordine, compresa l’esattezza della data e dell’ora di invio e ricevimento dello stesso, quali posta elettronica protetta o piattaforme o altri canali protetti, compresi quelli messi a disposizione dal prestatore di servizi di hosting, in conformità del diritto dell’Unione in materia di protezione dei dati personali. Tale obbligo dovrebbe poter essere assolto tramite l’uso, tra l’altro, di servizi elettronici di recapito certificato qualificati ai sensi del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio (10). Se il prestatore di servizi di hosting ha lo stabilimento principale o il suo rappresentante legale risiede o è stabilito in uno Stato membro diverso da quello dell’autorità competente di emissione, una copia dell’ordine di rimozione dovrebbe essere inviata contemporaneamente all’autorità competente di tale Stato membro.

(20)

Dovrebbe essere possibile per l’autorità competente dello Stato membro in cui il prestatore di servizi di hosting ha lo stabilimento principale o in cui il suo rappresentante legale risiede o è stabilito esaminare l’ordine di rimozione emesso dalle autorità competenti di un altro Stato membro per stabilire se esso violi il regolamento in modo grave o manifesto il presente regolamento, o i diritti fondamentali sanciti dalla Carta. Sia il fornitore di contenuti che il prestatore di servizi di hosting dovrebbero avere il diritto di chiedere tale esame da parte dell’autorità competente dello Stato membro in cui il prestatore di servizi di hosting ha lo stabilimento principale o in cui il suo rappresentante legale risiede o è stabilito. Qualora una tale richiesta sia formulata l’autorità competente di emissione dovrebbe adottare una decisione sull’inclusione di tale violazione nell’ordine di rimozione. Se tale decisione riscontra tali violazioni, l’ordine di rimozione dovrebbe cessare di avere effetti giuridici. L’esame dovrebbe essere effettuato rapidamente in modo da assicurare che i contenuti erroneamente rimossi o disabilitati siano ripristinati non appena possibile.

(21)

I prestatori di servizi di hosting che sono esposti a contenuti terroristici dovrebbero includere nelle loro condizioni contrattuali, ove esistano, disposizioni volte a contrastare l’uso improprio dei loro servizi per la diffusione al pubblico di contenuti terroristici. Essi dovrebbero applicare tali disposizioni in maniera diligente, trasparente, proporzionata e non discriminatoria.

(22)

In considerazione della portata del problema e della rapidità necessaria per individuare e rimuovere efficacemente i contenuti terroristici, l’adozione di misure specifiche efficaci e proporzionate costituisce un elemento essenziale di contrasto ai contenuti terroristici online. Al fine di ridurre l’accessibilità ai contenuti terroristici nei loro servizi, i prestatori di servizi di hosting esposti a contenuti terroristici dovrebbero adottare misure specifiche tenendo conto dei rischi e del livello di esposizione a contenuti terroristici nonché delle conseguenze sui diritti dei terzi alle informazioni e dell’interesse pubblico. I prestatori di servizi di hosting dovrebbero determinare le misure specifiche appropriate, efficaci e proporzionate da attuare per individuare e rimuovere contenuti terroristici. Le misure specifiche potrebbero includere adeguate misure o capacità tecniche o operative, quali personale o mezzi tecnici per individuare e rimuovere prontamente contenuti terroristici o disabilitare l’accesso ad essi, meccanismi che consentano agli utilizzatori di segnalare o indicare presunti contenuti terroristici, o qualsiasi altra misura che il prestatore di servizi di hosting ritenga appropriata ed efficace per contrastare la disponibilità di contenuti terroristici nei suoi servizi.

(23)

Quando attuano misure specifiche, i prestatori di servizi di hosting dovrebbero assicurare che siano preservati il diritto degli utilizzatori alla libertà di espressione e di informazione, nonché la libertà dei media e il loro pluralismo come tutelati dalla Carta. Oltre ai requisiti stabiliti nella legislazione, anche in materia di protezione dei dati personali, i prestatori di servizi di hosting dovrebbero agire con la debita diligenza e attuare, se del caso, misure di salvaguardia, comprese la sorveglianza e le verifiche umane, al fine di evitare decisioni indesiderate o erronee di rimozione o disabilitazione all’accesso di contenuti che non hanno natura terroristica.

(24)

Il prestatore di servizi di hosting dovrebbe riferire all’autorità competente in merito alle misure specifiche attuate al fine di consentire a tale autorità di determinare se siano efficaci e proporzionate e se, qualora siano utilizzati strumenti automatizzati, il prestatore di servizi di hosting disponga delle necessarie capacità in materia di sorveglianza e verifiche umane. Nel valutare l’efficacia e la proporzionalità delle misure, le autorità competenti dovrebbero tenere conto dei parametri pertinenti, compresi il numero di ordini di rimozione emessi verso il prestatore di servizi di hosting, le dimensioni e la capacità economica del prestatore di servizi di hosting nonché l’impatto dei suoi servizi sulla diffusione di contenuti terroristici, ad esempio, sulla base del numero di utilizzatori nell’Unione, come pure delle misure di salvaguardia attuate per contrastare l’uso improprio dei suoi servizi ai fini della diffusione di contenuti terroristici online.

(25)

Qualora ritenga che le misure specifiche adottate siano insufficienti per far fronte ai rischi, l’autorità competente dovrebbe poter esigere l’adozione di ulteriori misure specifiche appropriate, efficaci e proporzionate. L’obbligo di attuare tali ulteriori misure specifiche non dovrebbe comportare un obbligo generale di sorveglianza o di ricercare attivamente fatti e circostanze, ai sensi dell’articolo 15, paragrafo 1, della direttiva 2000/31/CE, né l’obbligo di utilizzare strumenti automatizzati. I prestatori di servizi di hosting, tuttavia, dovrebbero poter decidere di utilizzare strumenti automatizzati se lo ritengono opportuno e necessario per contrastare efficacemente l’uso improprio dei loro servizi ai fini della diffusione di contenuti terroristici.

(26)

L’obbligo per i prestatori di servizi di hosting di conservare i contenuti rimossi e i relativi dati dovrebbe essere previsto per finalità specifiche e limitato al periodo necessario. Tale obbligo di conservazione dei dati dovrebbe essere esteso ai relativi dati nella misura in cui tali dati andrebbero altrimenti perduti a seguito della rimozione dei contenuti terroristici in questione. I relativi dati possono includere dati quali i dati relativi agli abbonati, in particolare i dati relativi all’identità del fornitore di contenuti, nonché i dati relativi agli accessi, tra cui i dati relativi alla data e all’ora di utilizzo da parte del fornitore di contenuti, e la connessione al servizio (log-in) e la disconnessione (log-off) dal medesimo, unitamente all’indirizzo IP assegnato al fornitore di contenuti dal prestatore di servizi di accesso a Internet.

(27)

L’obbligo di conservare i contenuti ai fini di un procedimento di controllo amministrativo o giurisdizionale è necessario e giustificato vista la necessità di garantire ricorsi efficaci al fornitore di contenuti il cui contenuto online è stato rimosso o l’accesso al quale è stato disabilitato, e di garantire il ripristino di tali contenuti, in funzione dell’esito di tali procedimenti di controllo. L’obbligo di conservare il materiale a fini di indagine e azione penale è giustificato e necessario in considerazione della potenziale utilità che potrebbe avere il materiale per scardinare o prevenire attività terroristiche. Pertanto, si dovrebbe considerare giustificata anche la conservazione dei contenuti terroristici a fini di prevenzione, accertamento, indagine e perseguimento di reati di terrorismo. I contenuti terroristici e i relativi dati dovrebbero essere conservati solo per il periodo necessario a consentire alle autorità di contrasto di controllare tali contenuti terroristici e decidere se siano necessari a tali fini. A fini di prevenzione, accertamento, indagine e perseguimento di reati di terrorismo, l’obbligo di conservazione dovrebbe essere limitato ai dati che possono essere correlati a reati di terrorismo e potrebbe pertanto contribuire a perseguire i reati di terrorismo o a prevenire gravi rischi per la sicurezza pubblica. Se i fornitori di servizi di hosting rimuovono o disabilitano l’accesso al materiale, segnatamente a seguito dell’adozione di proprie misure specifiche, dovrebbero informare tempestivamente le autorità competenti in merito ai contenuti in cui sono presenti informazioni che comportano una minaccia imminente per la vita o un presunto reato di terrorismo.

(28)

Per garantire la proporzionalità, il periodo di conservazione dovrebbe essere limitato a sei mesi, in modo da dare ai fornitori di contenuti il tempo sufficiente ad avviare i procedimenti di controllo amministrativo o giurisdizionale e consentire alle autorità di contrasto di accedere ai dati pertinenti ai fini delle indagini e dell’azione penale nei confronti dei reati di terrorismo. Su richiesta dell’autorità competente o dell’organo giurisdizionale, tuttavia tale termine dovrebbe poter essere prorogato del tempo necessario qualora tali procedimenti siano avviati ma non completati entro tale periodo di sei mesi. La durata del periodo di conservazione dovrebbe essere sufficiente per consentire alle autorità di contrasto di conservare il materiale necessario in relazione alle indagini e alle azioni penali, assicurando nel contempo un equilibrio con i diritti fondamentali.

(29)

Il presente regolamento non dovrebbe pregiudicare le garanzie procedurali o le misure investigative procedurali relative all’accesso ai contenuti e ai relativi dati conservati a fini di indagine e azione penale nei confronti dei reati di terrorismo, stabilite dal diritto dell’Unione o dal diritto nazionale.

(30)

La trasparenza della politica applicata dai prestatori di servizi di hosting in relazione ai contenuti terroristici è essenziale ai fini della loro maggiore responsabilità nei confronti dei propri utilizzatori e per rafforzare la fiducia dei cittadini nel mercato unico digitale. I prestatori di servizi di hosting che, a norma del presente regolamento, hanno adottato misure in un determinato anno civile o sono stati tenuti a farlo dovrebbero rendere disponibili al pubblico relazioni annuali sulla trasparenza contenenti informazioni sulle misure adottate per individuare e rimuovere contenuti terroristici.

(31)

Le autorità competenti dovrebbero pubblicare relazioni annuali sulla trasparenza contenenti informazioni sul numero di ordini di rimozione, sul numero di casi in cui un ordine non sia stato eseguito, sul numero di decisioni riguardanti misure specifiche, sul numero di casi soggetti a procedimenti di controllo amministrativo o giurisdizionale e sul numero di decisioni che impongono sanzioni.

(32)

Il diritto a un ricorso effettivo è sancito dall’articolo 19 del trattato sull’Unione europea (TUE) e dall’articolo 47 della Carta. Ogni persona fisica o giuridica ha diritto a un ricorso effettivo dinanzi ai competenti organi giurisdizionali nazionali contro una qualsiasi delle misure adottate in base al presente regolamento che possa ledere i diritti di tale persona. Tale diritto dovrebbe comprendere, in particolare, la possibilità per i prestatori di servizi di hosting e i fornitori di contenuti di impugnare effettivamente un ordine di rimozione o le decisioni risultanti dall’esame degli ordini di rimozione ai sensi del presente regolamento dinanzi a un organo giurisdizionale dello Stato membro la cui autorità competente ha emesso l’ordine di rimozione o adottato la decisione, nonché per i prestatori di servizi di hosting di impugnare effettivamente una decisione relativa a misure specifiche o sanzioni dinanzi a un organo giurisdizionale dello Stato membro la cui autorità competente ha adottato tale decisione.

(33)

Le procedure di reclamo costituiscono una tutela necessaria contro l’erronea rimozione o disabilitazione dell’accesso a contenuti online ove tali contenuti siano protetti nell’ambito della libertà di espressione e di informazione. I prestatori di servizi di hosting dovrebbero pertanto predisporre meccanismi di facile uso per i reclami, e assicurare che siano trattati tempestivamente e in piena trasparenza nei confronti del fornitore di contenuti. L’obbligo del prestatore di servizi di hosting di ripristinare dei contenuti che siano stati erroneamente rimossi o il cui accesso sia stato disabilitato, non dovrebbe pregiudicare la possibilità che il prestatore di servizi di hosting applichi le proprie condizioni contrattuali.

(34)

La tutela giurisdizionale effettiva in conformità dell’articolo 19 TUE e dell’articolo 47 della Carta esige che i fornitori di contenuti siano in grado di conoscere il motivo per cui i contenuti che essi forniscono è stato rimosso o il cui accesso è stato disabilitato. A tal fine, il prestatore di servizi di hosting dovrebbe mettere a disposizione del fornitore di contenuti informazioni che gli consentano di impugnare la rimozione o la disabilitazione. A seconda delle circostanze, i prestatori di servizi di hosting potrebbero sostituire i contenuti rimossi o disabilitati con un messaggio indicante che tali contenuti sono stati rimossi o disabilitati in conformità del presente regolamento. Su sua richiesta, il fornitore di contenuti dovrebbe ricevere maggiori informazioni sui motivi della rimozione e della disabilitazione e sui mezzi di ricorso contro la rimozione e la disabilitazione. Le autorità competenti dovrebbero informare il prestatore di servizi di hosting se, per motivi di pubblica sicurezza, in particolare nel contesto di un’indagine, sia inappropriato o controproducente notificare direttamente al fornitore di contenuti la rimozione o la disabilitazione dell’accesso ai contenuti.

(35)

Ai fini dell’applicazione del presente regolamento, gli Stati membri dovrebbero designare autorità competenti. Ciò non dovrebbe necessariamente comportare l’istituzione di una nuova autorità e i compiti stabiliti dal presente regolamento dovrebbero poter essere assegnati a un organismo esistente. Il presente regolamento dovrebbe richiedere la designazione delle autorità competenti a emettere ordini di rimozione, esaminare gli ordini di rimozione, vigilare sulle misure specifiche e irrogare sanzioni, mentre ogni Stato membro dovrebbe poter decidere il numero di autorità competenti da designare e la loro natura amministrativa, esecutiva o giurisdizionale. Gli Stati membri dovrebbero garantire che le autorità competenti svolgano i loro compiti in modo obiettivo e non discriminatorio e non sollecitino né accettino istruzioni da alcun altro organismo in merito allo svolgimento dei compiti ai sensi del presente regolamento. Ciò non dovrebbe impedire la supervisione a norma del diritto costituzionale nazionale. Gli Stati membri dovrebbero comunicare l’autorità competente designata a norma del presente regolamento alla Commissione, che dovrebbe pubblicare online un registro elencante le autorità competenti di ciascuno Stato membro. Tale registro online dovrebbe essere facilmente accessibile per agevolare la rapida verifica dell’autenticità degli ordini di rimozione da parte dei prestatori di servizi di hosting.

(36)

Al fine di evitare una duplicazione di sforzi ed eventuali interferenze con le indagini e di ridurre al minimo gli oneri a carico dei prestatori di servizi interessati, le autorità competenti dovrebbero scambiarsi informazioni coordinarsi e cooperare reciprocamente e, se del caso, con Europol, prima di emettere ordini di rimozione. Nel decidere sull’emissione di un ordine di rimozione, l’autorità competente dovrebbe prendere in debita considerazione qualsiasi notifica di interferenza con gli interessi di un’indagine (prevenzione di conflittualità). Qualora un’autorità competente sia informata, da parte di un’autorità competente di un altro Stato membro, dell’esistenza di un ordine di rimozione, non dovrebbe essere emesso ordine di rimozione riguardante la stessa materia. Europol potrebbe sostenere l’attuazione delle disposizioni del presente regolamento, nel rispetto del suo attuale mandato e del quadro giuridico esistente.

(37)

Per garantire un’attuazione efficace e sufficientemente coerente delle misure specifiche adottate dai prestatori di servizi di hosting, le autorità competenti dovrebbero coordinarsi e cooperare in merito agli scambi che conducono con i prestatori di servizi di hosting per quanto riguarda gli ordini di rimozione e l’individuazione, l’attuazione e la valutazione di misure specifiche. Il coordinamento e la cooperazione sono necessarie anche per quanto riguarda altre misure per attuare il presente regolamento, anche in relazione all’adozione di norme in materia di sanzioni e all’imposizione di sanzioni. La Commissione dovrebbe facilitare tale coordinamento e cooperazione.

(38)

È essenziale che l’autorità competente dello Stato membro responsabile di irrogare le sanzioni sia pienamente informata degli ordini di rimozione, così come dei successivi scambi tra il prestatore di servizi di hosting e le autorità competenti di altri Stati membri. A tal fine, gli Stati membri dovrebbero provvedere affinché siano predisposti canali e meccanismi di comunicazione adeguati e sicuri per condividere tempestivamente le informazioni pertinenti.

(39)

Per facilitare il rapido scambio tra le autorità competenti nonché con i prestatori di servizi di hosting, e per evitare una duplicazione di sforzi, gli Stati membri dovrebbero essere incoraggiati ad avvalersi degli appositi strumenti sviluppati da Europol, ad esempio l’applicazione di gestione delle segnalazioni su Internet attuale o suoi sostituti.

(40)

Le segnalazioni da parte degli Stati membri e di Europol si sono dimostrate uno strumento efficace e rapido per sensibilizzare i prestatori di servizi di hosting in merito a contenuti specifici disponibili attraverso i loro servizi e per consentire loro di intervenire rapidamente. Tali segnalazioni, che sono un meccanismo inteso ad allertare i prestatori di servizi di hosting in merito alle informazioni che potrebbero essere considerate essere contenuti terroristici, affinché possano su base volontaria esaminare la compatibilità di tali contenuti con le proprie condizioni contrattuali, dovrebbe rimanere disponibile in aggiunta agli ordini di rimozione. La decisione finale in merito all’opportunità di rimuovere l’informazione, in quanto incompatibile con le proprie condizioni contrattuali, spetta al prestatore di servizi di hosting. Il presente regolamento non dovrebbe incidere sul mandato di Europol, come definito nel regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio (11). Pertanto, nessuna disposizione del presente regolamento dovrebbe essere interpretata nel senso che impedisce agli Stati membri e a Europol di utilizzare le segnalazioni come strumento per contrastare i contenuti terroristici online.

(41)

Considerata la particolare gravità delle conseguenze di determinati contenuti terroristici online, i prestatori di servizi di hosting dovrebbero informare tempestivamente le pertinenti autorità dello Stato membro interessato, o le autorità competenti dello Stato membro in cui sono stabiliti o hanno un rappresentante legale, in merito ai contenuti terroristici che comportano una minaccia imminente per la vita o un presunto reato di terrorismo. Al fine di garantire la proporzionalità, tale obbligo dovrebbe essere limitato ai reati di terrorismo quali definiti all’articolo 3, paragrafo 1, della direttiva (UE) 2017/541. Tale obbligo di informare non dovrebbe imporre ai prestatori di servizi di hosting l’obbligo di cercare attivamente prove di una tale minaccia imminente per la vita o un presunto reato di terrorismo. Lo Stato membro interessato dovrebbe essere lo Stato membro che ha la competenza giurisdizionale sulle indagini e sull’azione penale nei confronti di tali reati di terrorismo in base alla cittadinanza dell’autore o della vittima potenziale del reato o al luogo interessato dall’atto terroristico. In caso di dubbio, i prestatori di servizi di hosting dovrebbero inviare le informazioni a Europol, che è tenuta a darvi seguito in conformità del suo mandato, anche inoltrando tali informazioni alle autorità nazionali interessate. Le autorità competenti degli Stati membri dovrebbero essere autorizzate a utilizzare tali informazioni per adottare le misure investigative previste dal diritto dell’Unione o nazionale.

(42)

I prestatori di servizi di hosting dovrebbero designare o istituire punti di contatto per facilitare il rapido trattamento degli ordini di rimozione. Il punto di contatto dovrebbe assolvere solamente compiti di natura operativa. Il punto di contatto dovrebbe disporre degli strumenti specifici, interni o esternalizzati, che permettono di trasmettere per via elettronica gli ordini di rimozione e delle risorse tecniche o personali che consentono di trattarli rapidamente. Il punto di contatto del prestatore di servizi di hosting non deve necessariamente essere situato nell’Unione. Il prestatore di servizi di hosting dovrebbe essere libero di utilizzare un punto di contatto già esistente ai fini del presente regolamento, a condizione che il punto di contatto sia in grado di svolgere le funzioni previste dal presente regolamento. Al fine di garantire che i contenuti terroristici siano rimossi o che l’accesso sia disattivato entro un’ora dal ricevimento di un ordine di rimozione, è necessario che il punto di contatto dei prestatori di servizi di hosting esposti a contenuti terroristici sia accessibile in qualsiasi momento. Le informazioni sul punto di contatto dovrebbero comprendere informazioni sulla lingua in cui il punto di contatto può essere contattato. Per facilitare la comunicazione tra i prestatori di servizi di hosting e le autorità competenti, i prestatori di servizi di hosting sono incoraggiati ad ammettere la comunicazione in una delle lingue ufficiali delle istituzioni dell’Unione nella quale sono disponibili le loro condizioni contrattuali.

(43)

In assenza di un obbligo generale per i prestatori di servizi di hosting di assicurare la presenza fisica all’interno del territorio dell’Unione, è necessario determinare in modo chiaro lo Stato membro nella cui giurisdizione ricade il prestatore di servizi di hosting che offre servizi all’interno dell’Unione. Generalmente, il prestatore di servizi di hosting ricade nella giurisdizione dello Stato membro in cui ha lo stabilimento principale o in cui il suo rappresentante legale risiede o è stabilito. Ciò dovrebbe lasciare impregiudicate le norme in materia di competenza stabilite ai fini degli ordini di rimozione e delle decisioni risultanti dall’esame degli ordini di rimozione ai sensi del presente regolamento. Anche se un prestatore di servizi di hosting non ha uno stabilimento nell’Unione e non vi ha designato un rappresentante legale, qualsiasi Stato membro dovrebbe comunque avere la giurisdizione e, dunque, poter irrogare sanzioni, a condizione che sia rispettato il principio del ne bis in idem.

(44)

I prestatori di servizi di hosting che non sono stabiliti nell’Unione dovrebbero designare, per iscritto, un rappresentante legale al fine di assicurare il rispetto e l’esecuzione degli obblighi ai sensi del presente regolamento. I prestatori di servizi di hosting dovrebbero poter designare, ai fini del presente regolamento, un rappresentante legale già designato per tali fini, a condizione che tale rappresentante legale sia in grado di svolgere le funzioni previste dal presente regolamento. Il rappresentante legale dovrebbe essere autorizzato ad agire per conto del prestatore di servizi di hosting.

(45)

Le sanzioni sono necessarie per garantire che i prestatori di servizi di hosting diano effettiva attuazione al presente regolamento. Occorre che gli Stati membri adottino norme relative alle sanzioni, che possono essere di natura amministrativa o penale, nonché, eventualmente, linee guida per il calcolo delle stesse. La mancata conformità in casi individuali potrebbe essere soggetta a sanzioni nel rispetto del principio del ne bis in idem e del principio di proporzionalità, assicurando che tali sanzioni tengano conto dell’inosservanza sistematica. Le sanzioni potrebbero assumere forme diverse, tra cui avvertimenti formali in caso di violazioni minori o sanzioni pecuniarie in relazione a violazioni più gravi o sistematiche. Sanzioni particolarmente severe dovrebbero essere inflitte nel caso in cui il prestatore di servizi di hosting ometta in modo sistematico o persistente di rimuovere contenuti terroristici o di disabilitare l’accesso agli stessi entro un’ora dal ricevimento di un ordine di rimozione. Al fine di garantire la certezza del diritto, il presente regolamento dovrebbe stabilire quali violazioni sono soggette a sanzioni e quali circostanze sono pertinenti per valutare la tipologia e il livello di tali sanzioni. Nel determinare se debbano essere inflitte sanzioni pecuniarie si dovrebbe tenere debito conto delle risorse finanziarie del prestatore di servizi di hosting. L’autorità competente dovrebbe altresì considerare se il prestatore di servizi di hosting è una start-up, una microimpresa, o una piccola o media impresa come definita nella raccomandazione 2003/361/CE della Commissione (12). Si dovrebbero inoltre considerare ulteriori circostanze, ad esempio se il comportamento del prestatore di servizi di hosting è stato oggettivamente imprudente o riprovevole o se la violazione è stata commessa per negligenza o intenzionalmente. Gli Stati membri dovrebbero assicurare che le sanzioni inflitte per la violazione del presente regolamento non incoraggino la rimozione di materiale che non ha natura terroristica.

(46)

L’utilizzo di modelli standardizzati facilita la cooperazione e lo scambio di informazioni tra le autorità competenti e i prestatori di servizi di hosting, consentendo loro di comunicare in modo rapido ed efficace. È particolarmente importante garantire un intervento rapido dopo il ricevimento di un ordine di rimozione. I modelli riducono i costi di traduzione e contribuiscono a un livello più elevato del procedimento. I formulari di riscontro consentono uno scambio di informazioni standardizzato, particolarmente importante nel caso in cui i prestatori di servizi di hosting non sono in grado di conformarsi a un ordine di rimozione. Canali di trasmissione autenticati possono garantire l’autenticità dell’ordine di rimozione, compresa l’esattezza della data e dell’ora di invio e di ricevimento dell’ordine.

(47)

Per poter modificare rapidamente, se necessario, il contenuto del modello da utilizzare ai fini del presente regolamento, è opportuno delegare alla Commissione il potere di adottare atti conformemente all’articolo 290 del trattato sul funzionamento dell’Unione europea riguardo alla modifica degli allegati del presente regolamento. Per tenere conto dello sviluppo tecnologico e del relativo quadro giuridico, alla Commissione dovrebbe essere inoltre conferito il potere di adottare atti delegati al fine di integrare il presente regolamento con requisiti tecnici per gli strumenti elettronici destinati ad essere utilizzati dalle autorità competenti per trasmettere gli ordini di rimozione. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell’accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (13). In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(48)

Gli Stati membri dovrebbero raccogliere informazioni sull’attuazione del presente regolamento. Gli Stati membri dovrebbero poter utilizzare le relazioni sulla trasparenza dei prestatori di servizi di hosting integrandole, ove necessario, con informazioni più dettagliate, come ad esempio le proprie relazioni sulla trasparenza ai sensi del presente regolamento. Occorre elaborare un programma dettagliato volto a monitorare gli esiti, i risultati e gli effetti del presente regolamento, al fine di fornire elementi per la valutazione dell’attuazione del presente regolamento.

(49)

Sulla base delle constatazioni e conclusioni formulate nella relazione di attuazione e dell’esito dell’esercizio di monitoraggio, la Commissione dovrebbe effettuare una valutazione del presente regolamento entro tre anni dalla data della sua entrata in vigore. La valutazione dovrebbe essere basata sui criteri di efficienza, necessità, efficacia, proporzionalità, pertinenza, coerenza e valore aggiunto dell’Unione. Dovrebbe valutare il funzionamento delle diverse misure operative e tecniche previste dal presente regolamento, in particolare l’efficacia delle misure volte a migliorare l’accertamento, l’individuazione e la rimozione di contenuti terroristici online, l’efficacia dei meccanismi di salvaguardia nonché le potenziali conseguenze per i diritti fondamentali, quali la libertà di espressione e informazione, inclusi la libertà e il pluralismo dei media, la libertà d’impresa e il diritto alla vita privata e alla protezione dei dati personali. La Commissione dovrebbe altresì valutare le potenziali conseguenze per gli interessi di terzi.

(50)

Poiché l’obiettivo del presente regolamento, ossia garantire il buon funzionamento del mercato unico digitale mediante il contrasto della diffusione di contenuti terroristici online, non può essere conseguito in misura sufficiente dagli Stati membri e può dunque, a motivo della portata e degli effetti dell’azione in questione, essere conseguito meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo,